Zum Inhalt springen

Cricktor

Mitglied
  • Gesamte Inhalte

    2.165
  • Benutzer seit

  • Letzter Besuch

Alle Inhalte von Cricktor

  1. Cricktor

    Fake Wallet

    Was genau erwartest du jetzt von anderen Mitgliedern oder Mitlesern dieses Forums? Es ist OK eine Frage zu haben, aber wie wäre es z.B., wenn du einen Link beisteuerst, so daß man nicht selbst suchen muss, wozu du deine Frage hast? Ich bin mir bei deiner Frage nicht einmal sicher, ob du dich nicht verschrieben hast. Von deiner Wallet habe ich jedenfalls noch nicht gehört. Wofür ist die? Wo hast du die aufgeschnappt? Hat dir die jemand in anonymen Chats ans Herz gelegt? So viele Fragen, so wenige Details von dir. Du erkennst hoffentlich das Ungleichgewicht.
  2. Praktisch jede Hardware-Wallet ist in der Regel nur ein Signier-Gerät, das die Private Keys einer deterministischen Wallet sicher verwahren und vor Zugriff durch potentielle Malware auf einem Computer bzw. Mobilgerät schützen soll. Die Hardware-Wallet kann nicht die ganze Arbeit leisten, daher wird diese praktisch immer mit einer zugehörigen Software-Wallet benutzt, ob die nun Electrum, Trezor Suite, Ledger Live oder BitBoxApp heisst, spielt kaum eine Rolle. Die steuernde Software-Wallet, die mit der Hardware-Wallet kommuniziert, kennt nur eine Watch-only-Wallet ohne Private Keys. Hier kann Malware höchstens die Kenntnis der Wallet-Transaktionen stehlen, aber keine validen Transaktionen aus der Wallet signieren. Der normale Vorgang mit einer Hardware-Wallet: die Software-Wallet überreicht eine zu signierende Transaktion an die Hardware-Wallet die Hardware-Wallet zeigt die Transaktion auf dem Display der Hardware-Wallet an (das Display muss unter der alleinigen Kontrolle der Hardware-Wallet sein, sonst kann es keinen Schutz vor Malware bieten) der User kontrolliert sorgfältigst alle Details der zu signierenden Transaktion, insbesondere die Outputs, um ausschließen zu können, daß Malware eine manipulierte zu signierende Transaktion übermittelt hat passt alles mit der zu signierenden Transaktion, bestätigt der User, daß die Transaktion von der Hardware-Wallet mit passenden Private Keys der Inputs signiert werden kann die Hardware-Wallet signiert die Transaktion und übermittelt diese zurück an die Software-Wallet, die die Transaktion ins Netzwerk übermittelt (broadcast transaction) die an andere Nodes übermittelte Transaktion wartet in Mempools der Miner auf Bestätigung Es ist daher im Prinzip egal, ob die Software-Wallet eine Online-Wallet oder ein installiertes Programm auf dem Computer ist. Ich hätte keine Probleme, einen Trezor Model T zu verwenden. Gegen das nicht-korrigierbare Problem von Trezors, daß man bei physischem Besitz der Hardware-Wallet mit entsprechender Technik und Knowhow die Mnemonic Recovery Wörter extrahieren kann, hilft die Verwendung einer komplexen optionalen Mnemonic Passphrase, da letztere nicht im Trezor gespeichert wird. Jede gute Hardware-Wallet ist sicherer als _jede_ Software-Hot-Wallet. Wer keiner Hardware-Wallet vertrauen möchte, aber dennoch vergleichbaren Schutz möchte, der muss dann einen verschlüsselten air-gapped Offline-Rechner verwenden, der ausschließlich als Cold-Wallet zum Signieren verwendet wird. Dieser Rechner darf dann aber niemals online gehen, solange die Cold-Wallet mit den Private Keys noch drauf ist. Zu signierende Transaktionen muss man "zu Fuß" über geeignete Datenträger hinein und wieder hinaus übertragen. Umständlich, aber sicher, wenn man es richtig macht. Diesen Klimbim erspart einem eine gescheite Hardware-Wallet, weil sie im Grunde genommen auch ein Offline-Signiergerät ist.
  3. Bullshit, sehr wahrscheinlich. Du siehst bloß in deinem Whatsapp eine UK-Nummer. Dein Scammer kann sonstwo auf diesem Planeten sein und die Nr. muss nichtmal echt sein, denn nur Anfänger-Betrüger wären so blöd. Und die, die dich betrogen haben, sind alles andere als Anfänger-Betrüger, das sind halbwegs Profis. Du möchtest weiteres Geld verbrennen? Kein deutscher Anwalt wird dir bei sowas helfen können. Äußerst unwahrscheinlich. Du kannst zur Polizei gehen und eine Anzeige machen. Das ist kostenlos für dich. Es wird dir dein verlorenes Geld nicht wiederbringen, weil das äußerst unwahrscheinlich ist. Die Betrugsmasche ist so alt wie Crypto-Coins existieren, auf die du reingefallen bist. In praktisch jedem Crypto-Forum kannst du zig Beispiele für das finden, was dir passiert ist. Mal weniger, mal mehr Geld verloren. Unglaublich, wie leichtfertig du FREMDEN Menschen dein Geld hinterher wirfst, ohne dich zu fragen, warum die eigentlich dein Geld brauchen, wenn sie doch so eine tolle Geldvermehrung zustande bringen, wie sie dir vorgelogen haben.
  4. Erstens hat ein Finder einer Hardware-Wallet in der Regel am Gerät selbst nur eine sehr begrenzte Anzahl an Versuchen, die Sperr-PIN zu erraten. Wer da sowas offensichtliches wie 12345678 oder sein Geburtsdatum verwendet hat, ist dann mal einfach selber schuld. Zwotens, nach Überschreitung der zulässigen Eingabe-Versuche setzt sich die Hardware-Wallet zurück. Drittens muss man hier allerdings natürlich dem Hersteller glauben, daß dabei alle sensitiven Daten restlos und zuverlässig gelöscht werden. Kann man Ledger noch glauben, nachdem sie gelogen haben, daß der Seed niemals den Secure Element Chip verlassen kann? Mit dem Abo Recovery Service hat ja Ledger sogar selbst Funktionen in die Firmware eingebaut, um den Seed in Form von Shamir Shards (2von3) über Ledger Live (zuverlässigste Software ever!) auf einem Online-Rechner (!) auf drei verwahrende Firmen zu verteilen. Damit führen sie das vom potentiell als unsicher anzusehenden Rechner isolierende Prinzip einer Hardware-Wallet defakto ad absurdum. Wie blöd muss man bei Ledger, Paris eigentlich sein?! Wer opaque Blackbox-Firmware bei einer Hardware-Wallet super findet, der bejubelt vermutlich auch den Ledger Abo Recovery Service für verarschende 9,99 EUR mntl. trotzdem. Facepalm, wie geil ist das denn! 😍
  5. @CoinSucht, bitte lerne für die Zukunft folgende CryptoCoin-Regeln: gib' niemals die Recovery Worte (d)einer Wallet(s) auf einer Online-Webseite ein + speichere niemals deine Recovery Wörter digital auf einem Online-Rechner ab, am besten nur analog auf Papier und meinetwegen auch in Metall gestempelt. Mach' keine digitalen oder analogen Bilder deiner physischen Recovery Worte Sicherung. Am besten lässt du dich auch von dir unbekannten Leuten in anonymen Messengern nicht zu irgendetwas beschwatzen. Die meisten wollen nur dein Bestes: dein Geld.
  6. Ich habe jetzt nicht wirklich Lust auf Spekulation, was sich wie zugetragen haben könnte. 9.6. bis ca. 11.6. sind Transaktionen aus den Gebührenintervallen 12-15sat/vB und 10-12sat/vB und auch alles darüber praktisch vollständig aus Mempools herausbestätigt worden. Bei der Gebührenhöhe der vier Transaktionen kann es eigentlich auch zu keinem Purging aus Standard-300MB-Mempools gekommen sein, jedenfalls nicht in der Anfangszeit, wo die angeblich gesendet worden sind. Warum nur blockchain.com diese vier Transaktionen kennt und kein anderer Blockexplorer kann ich mir nicht erklären, außer, daß blockchain.com spinnt und diese Transaktionen trotz Fehlern in diesen registriert hat, während andere Nodes diese Transaktionen artig verworfen haben. Wer ist der Besitzer der Keys für die ausgegebenen Inputs der vier Transaktionen? Wem gehören die Outputs der vier Transaktionen? Ach du Scheiße, das ist ja wirklich eine ziemliche Kette an unbestätigten CPFP Transaktionen und ich habe mir nur die allererste Transaktionen angeschaut und wie es mit den Vorgänger- und Nachfolger-Transaktionen aussieht. Da wird man ja ganz dösig im Kopf. Wer ist denn für all diese Transaktionen verantwortlich und ehrlich, was hat sich derjenige eigentlich dabei gedacht?
  7. Davon habe ich noch nicht gehört und würde es vom Code von bitaddress.org auch sehr stark anzweifeln. Der ist nämlich in Ordnung und war es eigentlich auch immer, soweit ich das beurteilen kann. Berichte von Problemen "mit dem Original" haben meist keiner intensiven Prüfung standgehalten. Wenn man nur wenig Ahnung hat, worauf man zur sicheren Handhabung von freien Private Keys achten muss, können eine Menge Fehler passieren, die Unerfahrene dann zu schnell der falschen Stelle in die Schuhe schieben. Wichtig ist, daß man die korrekte Seite aufruft und auch die Signatur prüft. Meines Erachtens am besten über die Github-Seite des Originals gehen: https://github.com/pointbiz/bitaddress.org Es gab ja schon Schindluder über Schreibfehler-Domains wie bitadress(dot)org oder bitadress(dot)com oder wasweißich, welche Schreibfehler sich die Leute noch in die Tastatur hämmern. Nur mal zum drüber Nachdenken: wahrscheinlich geht der Rechner auch wieder online, auf dem du die Paperwallets erstellt hast. Was machst du, wenn du dir schlaue Malware einfängst, die dein Dateisystem nach Wallets und Private Keys absucht? Falls du die Paperwallets in digitaler Form auf dem Rechner belässt und dieser auch wieder online geht, was ist dann mit der Sicherheit deiner Paperwallets? Ich bin mir nicht sicher, ob ich deine Frage richtig verstehe. Aber ansonsten: Ja! Ich habe schon öfter Adressen von Private Keys, die ich im Abschnitt "Walletdetails" eingefügt habe, z.B. in Electrum gegengeprüft. Da war nie eine "defekte" Bitcoin-Adresse dabei. Der Code von bitaddress.org ist ziemlich ausgereift und sehr wahrscheinlich auch von vielen kundigen Augen z.B. auf bitcointalk.org begutachtet worden. Manche Leute sind da sehr kritisch, was nicht verkehrt ist.
  8. Das stimmt nicht. Es ist kein Problem, unbestätigte eigene UTXO auszugeben, sonst würde ja CPFP nicht funktionieren, wenn es mal nötig ist. Man muss nur beachten, daß beim Ausgeben von unbestätigten Transaktionen nicht mehr als in Summe 25 unbestätigte verkettete UTXOs beteiligt sind, sonst wird die Transaktion von Nodes nicht versendet bzw. verworfen.
  9. Du hattest mit der älteren Core Version eine leere Wallet erstellt, die kann natürlich keine Adressen generieren. Leer im Sinne, enthält keine Key-Paare.
  10. Wenn für die Transaktion RBF möglich ist, könntest du die Gebühr erhöhen, also die Transaktion durch eine ersetzen, die eine ausreichend hohe Gebühr bezahlt, so daß eine Bestätigung in kürzerer zeit wahrscheinlich ist. Details, wie man das mit Core macht, müsste man mal raussuchen. Ist RBF nicht aktiv, kann man die Transaktion durch CPFP beschleunigen (Child Pays For Parent), sofern ein Wechselgeld-Output in deine eigene Wallet in der ursprünglichen Transaktion drin ist. Dann gibst du dieses Wechselgeld einfach durch eine zweite Transaktion in deine eigene Wallet aus. Diese zweite Transaktion muss dann eine Gebührenhöhe haben, die wiederum für beide Transaktionen zusammengenommen eine sinnvolle Höhe hat. Ggf. musst du die Option aktivieren, daß man in der Wallet auch nichtbestätigte UTXOs ausgeben darf, sonst kannst du die CPFP-Transaktion nicht erstellen und absenden. Die aktuell sinnvolle Gebührenhöhe kannst du dir auf https://mempool.space ansehen. Wenn du nur Bahnhof verstehst, dann frag' lieber nochmal nach.
  11. Solange es ein orignales Bitcoin Core von https://bitcoincore.org ist, ist es egal ob Mac, PC oder Linux. Hast du verifiziert, daß dein Bitcoin Core korrekt von den Core Devs signiert wurde? Welche Version von Bitcoin Core läuft bei dir? Hast du in der verwendeten Wallet bereits erfolgreich Empfangsadressen erstellen können? Wenn ja, hast du bereits 1000 Empfangsadressen generiert? Ist es eine HD Wallet oder wurde eine Wallet mit importierten Private Keys erstellt? Ist es eine Wallet aus der Zeit bevor Bitcoin Core, damals noch Bitcoin-GUI genannt, HD-Wallets per Standard erstellt hat? Wenn du deine Wallet in Core geöffnet hast, kannst du im Core Konsolenfenster ja einfach mal den Befehl getwalletinfo ausführen und das Ergebnis dir ansehen oder auch hier posten. Daten die du nicht öffentlich haben möchtest, kannst du ja maskieren. Spannend sind neben einigen Details, weniger die balance Teile, die solltest du maskieren, sondern keypoolsize und der nächste Wert. Leider sieht man dabei aber nicht, wieviel vom Keypoolsize schon verbraucht ist. Wenn ich in Core 24.0.1 eine Standard-Wallet jetzt erstelle, dann ist das eine HD-Wallet mit Deskriptoren. Diese enthält einen Keypool von 4000 Empfangsadressen und 4000 internen Wechselgeldadressen, aufgeteilt in jeweils 1000 Adressen plus 1000 Wechselgeldadressen einer bestimmten Adressenart in der Deskriptoren-Wallet (P2PKH, PSH-P2WPKH, P2WPKH, P2TR). Die Ausgabe von getwalletinfo liefert dann z.B. folgenden Output: { "walletname": "testwallet_hd_230615a", "walletversion": 169900, "format": "sqlite", "balance": 0.00000000, "unconfirmed_balance": 0.00000000, "immature_balance": 0.00000000, "txcount": 0, "keypoolsize": 4000, "keypoolsize_hd_internal": 4000, "paytxfee": 0.00000000, "private_keys_enabled": true, "avoid_reuse": true, "scanning": false, "descriptors": true, "external_signer": false } Weitere Hilfe kannst du bekommen, wenn klar ist, was das für eine Wallet bei dir ist. Pauschale Hilfe mit den dürftigen Angaben von dir, könnte gefährlich sein. Sag' auch lieber Bescheid, wenn dir obige Dinge die Hirnwindungen verknoten.
  12. Ist aber schon etwas seltsam, daß die vier Transaktionen z.B. bei https://mempool.space oder https://blockchair.com nicht auftauchen, obwohl sie es von der Gebührenhöhe (22,8 sat/vB, 31,7 sat/vB, 30,8 sat/vB, 34,7 sat/vB) her relativ problemlos in die Mempools hätten schaffen müssen. Wer hat denn, von welcher Wallet aus diese Transaktionen abgesetzt? Abwarten nützt hier ggf. nicht viel, wenn diese Transaktionen es nicht in andere Mempools geschafft haben, obwohl die Gebührenhöhe und der Mempool-Pegelstand durchaus eine Bestätigung in den letzten Tagen zugelassen hätten.
  13. Das meine ich nicht. Deine Sätze stehen in der Zitatbox von @Matchbox, so als hätte dieser sie geschrieben, während du es aber warst. Sorry, wenn ich pingelig bin.
  14. @waldemarker, warum schreibst du deinen eigenen Kommentar in das Zitat von @Matchbox?
  15. Was weisst du von anderer User Leben? Es wäre schön, wenn du solche Angriffe einfach mal lassen könntest, egal gegen wen. Ist nicht das erste Mal in den letzten Tagen, wo du hier wieder aufgetaucht bist. Und wenn ich noch einen Wunsch frei hätte, dann wär's auch noch ganz schön, wenn du deine aneinandergereihten Postings zu einem vereinen könntest. Ist keine Raketentechnologie und da du mal Mod warst, sollte man meinen, du wüsstest es selber besser. Vielen Dank schon mal für deine Aufmerksamkeit im voraus.
  16. Da ich meinen letzten Beitrag nicht mehr editieren kann, möchte ich hiermit meine Aussage zurücknehmen, SatoshiLabs hätte etwas zu den Hacks von Joe Grand beim Trezor Model One und von Unciphered beim Trezor Model T kommuniziert. Das scheint doch nicht der Fall zu sein, auch wenn sie relativ prominent hinweisen, daß man PIN und Mnemonic Passphrase nutzen sollte, wenn man verhindern möchte, daß ein Angreifer mit physischem Zugriff auf das Gerät Coins stehlen kann. Hier könnte man in der Tat erwarten, daß SatoshiLabs seine bestehenden Kunden auf die Hacks hinweist, auch wenn Joe Grands Angriff durch ein Firmware-Update geblockt wurde. Ich vermute stark, daß der Angriffsvektor von Unciphered auch beim Model One möglich ist, da ich auf einen Seitenkanal- und/oder Glitching-Angriff tippe (der kreisrunde Sensor auf dem MCU-Chip im Video von Unciphered weist darauf hin). Trezor-User müssen wissen, daß ihre Wallet im Grunde genommen dann nicht mehr sicher ist, wenn sie in fremde Hände fällt und nur mit PIN gesichert ist. Wie oft die PIN vielleicht das Geburtsdatum oder ähnlich trivial ist, möchte ich nicht wissen.
  17. Du musst nicht nur physischen Zugriff auf den Trezor haben, sondern auch das Knowhow und nicht wenig Technik mitbringen, um die Trezor-Schwäche ausnutzen zu können. Ich glaube nicht, daß das jeder in seiner kleinen Elektronik-Butze machen kann. Das Mnemonic Recovery Backup sollte man vielleicht nicht so leicht auffindbar "verstecken". Wenn's im Safe liegt, dann dürfte natürlich für einen Dieb der Safe sowieso ein bevorzugtes Ziel sein. Da kann aber Multisig oder eine Mnemonic Passphrase eine geeignete Lösung sein, die vorallem auch bei der Trezor-Schwäche hilft. Es erschwert dem Angreifer die Arbeit und macht Aufwand es chemisch zu entfernen. Wer sagt dass das die einzige Sicherheitslücke ist? Diese Trezor-Lücke ist nicht durch ein Firmware-Update behebbar. Was soll denn Satoshilabs dazu zusätzlich sagen? Ich meine, sie hätten kommuniziert, daß z.B. ein Workaround die Nutzung einer zusätzlichen Mnemonic Passphrase wäre. Ohne physischen Zugriff auf eine Trezor-HW sind die Teile immer noch sicher, bis eine "Remote-Lücke" gefunden werden sollte, was unwahrscheinlich ist. Ob es weitere Lücken/Schwächen gibt, kann man erst beantworten, wenn eine neue gefunden wird oder ein Design-Fehler mit seinen resultierenden Konsequenzen offensichtlich ist. Immerhin ist Trezor im Gegensatz zu Ledger transparent mit seinem Firmware-Code und weitgehend auch mit dem Hardware-Design. Die aktuelle Heuchelei von Ledger auf ihrer Website, daß sie schon immer große Befürworter von Open-Source waren, finde ich etwas unerträglich. Wobei Ledgers selektive Transparenz auch der Tatsache geschuldet ist, daß der für Nutzer sicherheitsrelevante Code im Secure Element und weit weniger im MCU abläuft und die Basis-Firmware des Secure Elements unter NDA closed for public ist.
  18. Das Einzige, was da mehr oder weniger erklärt wird: du musst Ledger Paris vertrauen, du musst Ledger Paris vertrauen, du musst Ledger Paris vertrauen, ... Desaster: ja. Das bisherige Ledger-Mantra, der Seed könne den Secure Chip nicht verlassen? Nicht, wenn Ledger es in die Firmware programmiert, was sie jetzt ja getan haben, zunächst nur für den NoNo X, für den NoNo S Plus wird's folgen, sehr wahrscheinlich. Ledger kontrolliert die Firmware, die wichtigsten Teile sind bei Ledger Closed-Source, du musst Ledger Paris vertrauen, du musst Ledger Paris vertrauen, du musst Ledger Paris vertrauen, ... Good luck with that... Die Kirsche auf dem Törtchen ist ja, daß die Dummies dafür auch noch €9,99/m abdrücken sollen. Was teuer ist, muss gut sein, oder? Genialer Marketing-Stunt, die Noobs werden es lieben. Das wäre nicht das erste Mal, daß sich Ledger Paris bei einer versuchten Responsible Disclosure eines Sicherheitsproblems der Ledger NoNos zäh und selten dämlich verhalten hätte. https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/ In diesem Fall z.B. hat sich der oben Krokodilstränen vergießende Ex-CEO nicht mit Ruhm bekleckert... Wie blöd kann man sich eigentlich anstellen, im Umgang mit Experten, die einem "freiwillig" die eigenen Programmierfehler aufzeigen wollen. Ich find's vollkommen verständlich, wenn die dafür auch bezahlt werden wollen, schließlich ist Lebenszeit auch Geld wert. Aber Ledger ist gerne arrogant. Ledger ist in meiner Wahrnehmung schlicht ein Saftladen und ja, ich bin kein Ledger-Fanboy, warum auch!
  19. Das wird sich dann ja zeigen. Nicht zumindest den Versuch zu machen, zu erfragen, worum es denn geht, halte ich für einen Fehler. Das halte ich im Kontext einer ersten Vorladung für übertrieben, solange man nicht weiß, welche Vorwürfe gegen einen selbst im Raum stehen. Naja, man sollte sich über seine Rechte bei so einer Vorladung durchaus mal vorher informieren. Du hast bei Vorwürfen gegen dich selbst ein Zeugnisverweigerungsrecht. Da muss und kann man einfach mal etwas stur sein und bleiben. Es besteht keine Notwendigkeit rumzuplaudern. Sein Gehirn sollte man in solchen Situationen auch mal einschalten und nutzen. Du kannst doch fast jede problematische Frage der Ermittler an dich bei so einer Vorladung zur Not beantworten mit: "Dazu sage ich ohne (m)einen Anwalt nichts." Erstmal hören, worum es geht und selbst nur das Minimum geben, was nötig ist: im worst case nur deine Personalien. Klar, kann gut sein, daß die Beamten dir den Eindruck vermitteln wollen oder werden, daß es nicht gut ist, wenn du unkooperativ bist. Aber da muss und kann man durch und die auch. Außerdem kommt es ja wohl auch darauf an, ob man selbst weiß, ob und daß man etwas "verbrochen" hat. Sehe ich auch so, besonders im Frühstadium eines Verfahrens, wenn etwas aus heiterem Himmel kommt, wo man selbst nicht bewusst etwas verbockt hat.
  20. Ich würde nahezu jedem Crypto-User empfehlen, eine Hardware-Wallet zu verwenden, die bei vernünftigen Produkten dieser Kategorie zuverlässig die wichtigen Geheimnisse einer Wallet, den Seed und daraus abgeleiteter Private Keys, vor Malware schützen kann. Dazu muss eine Hardware-Wallet ein eigenes Display haben, auf dem man vor dem Bestätigen und Signieren einer Transaktion stets überprüfen sollte, ob die zu signierende Transaktion genau das ist, was man vorher in der mit der Hardware-Wallet kommunizierenden Software-Wallet auf seinem Rechner oder Smartphone zusammengestellt hat. Klingt komplizierter, als es ist. Wenn man dann darauf achtet, die Recovery Keys der Hardware-Wallet stets und ausschließlich analog und redundant zu sichern (auf Papier notiert oder in Metall gestempelt), dann kann nicht viel passieren. Das sichert nicht alle Verlustrisiken ab, aber die für die meisten User wichtigsten erstmal schon. Jetzt zu deinem konkreten Fall: was würde ich machen? Wenn du unbedingt alle deine Coins in einer Wallet haben möchtest, dann böte sich z.B. Trezor als Hardware-Wallet an. Die zugehörige Trezor-Suite Software kann alle deine drei Coins in einer gemeinsamen Wallet verwalten (BTC, BCH und ETH, ggf. auch zu ETH gehörige ERC-20 Token). Ein Trezor Model One ist recht günstig, ein Trezor Model T leider ziemlich teuer. Letzterer hat ein deutlich größeres Display und einige Vorteile mehr, aber ich finde die Preisdifferenz doch recht unangenehm. Ich hätte sonst gerne auch die BitBox02 empfohlen, aber die fällt aus deinem Raster, weil sie kein BCH unterstützt, zumindest nicht laut der Herstellerseite. Ein Ledger NoNo S Plus oder X geht sicherlich auch, aber ich bin kein Ledger-Freund und empfehle diesen Schrott aus meiner subjektiven Sicht nicht. Das muss Jede/r selbst für sich entscheiden. Technisch funktioniert Ledger für deinen Anwendungsfall sicherlich. Eine Hardware-Wallet ist natürlich nicht Pflicht. Aber man sollte verstehen, daß man als Hodler für die Sicherheit einer Software-Wallet einen sicher genutzten Rechner und OS braucht, auf dem man möglichst nicht seinen Alltagskram im Internet macht. Eine Software-Wallet bietet keinen Schutz vor Malware. Du kannst die BCH u.U. nicht isoliert betrachten, wenn sich andere wertvollere Coins wie BTC und/oder ETH vielleicht die Private Keys in einer gemeinsamen Wallet mit deinen BCH teilen. Für deine BCH-Adresse ist das ja durchaus der Fall, denn da hast du auch noch BTC drauf (auf der Legacy-Adresse 1nv1oWzudyS7bBxWJfgr5aRseQ1F2dh6V), die viel mehr als deine BCH wert sind! Ob da jetzt auch noch ETH im Spiel sind, kann nur der Besitzer des zugehörigen Private Keys sagen. Konkreter Fall mal bei mir: ich habe so um 2019 eine BTC-Wallet von 2014 wiederherstellen können. Somit hatte ich Fork-Coins BCH, BTG und BSV in gleicher Anzahl wie die BTC. Alle diese Coins werden von denselben Private Keys "kontrolliert" (damit meine ich, die Private Keys ermöglichen das Bewegen der Coins). Den größten Wert von diesen Coins haben die BTC. Die verschiebe ich erstmal in eine neue und sichere Wallet, die auf anderen Private Keys basiert, die mit der ursprünglichen Wallet von 2014 nichts gemeinsam hat. Warum schiebe ich die BTC weg? Weil mich die Fork-Coins BCH, BTG und BSV nicht wirklich interessieren und ich deren Software-Wallets nicht trauen möchte. Erst nachdem meine BTC wieder in einem neuen sicheren Hafen waren, habe ich mit den Private Keys der 2014er-Wallet die BCH, BTG und BSV in geeigneten Software-Wallets für diese Coins wiederhergestellt bzw. "ge-sweeped" (die haltenden Adressen der Coins entleert) und auf eine Börse verschoben und dort vertickt. Mein Fall ist nicht mit deinem vergleichbar, soll nur den "sicheren" Weg und die Reihenfolge der Verarbeitung der Coins zeigen. Als Software-Wallet (allein oder zusammen mit einer Hardware-Wallet) kommt für mich nur eine Open-Source Wallet infrage. Closed-Source Wallets würde ich nur mit kleinen zweistelligen €-Beträgen nutzen wollen (Taschengeldniveau). Hier scheint für dich ggf. die Trust Wallet eine Möglichkeit zu sein, wie @Jokin zuvor schon vorgeschlagen hat, da man mit dieser auch Private Keys importieren oder "Sweepen" kann. Zumindest habe ich auf die schnelle entsprechende Hinweise und Videos von Trust Wallet auf YT gesehen oder auf den Community-Seiten von Trust Wallet gefunden. Ganz konkrete Schritte kann ich dir nicht raten. Erstens weiß ich nicht im Detail, wo du stehst. Zweitens solltest du mir nicht vertrauen müssen, höchstens, wenn du Vorschläge von mir oder anderen wirklich verstehst und nachvollziehen kannst oder andere vertrauenswürdige User hier es bestätigen. Drittens scheinst du noch ein Anfänger zu sein, was nicht schlimm ist, weil wir alle mal an der Stelle standen. Aber dann ist es eben eine Herausforderung, dir für dich sichere Tipps zu geben, weil man dafür das ganze Bild mit allen Details sehen muss (natürlich nicht deine Recovery Wörter oder Private Keys). Sei vorsichtig, wenn dich andere User ungefragt mit Ratschlägen per PM kontaktieren! Der grobe Weg für dich, soweit ich deinen Fall korrekt verstanden habe und einschätze: * du brauchst eine sichere neue Wallet, die alle deine drei Coins gemeinsam verwalten kann (z.B. Trust Wallet oder Trezor Suite mit Hardware oder [schauder] Ledger-Müll); sichere Verwahrung und Sicherung muss ich voraussetzen * du schiebst alle deine BTC in diese neue Wallet (Reihenfolge ggf. abhängig vom Gesamtwert) * du schiebst alle deine ETH in diese neue Wallet (Reihenfolge ggf. abhängig vom Gesamtwert) * du stellst alle deine BCH wieder her, falls erforderlich und schiebst alle deine BCH in diese neue Wallet * du hodlest, wie du es für dich für richtig hältst
  21. Ledgers Mantra ist, daß Seed und Private Keys im Secure Chip drin sind und diesen nicht verlassen. Der Microcontroller kann mit dem Secure Chip "reden" und passende Operationen auf den geheim zu haltenden Daten veranlassen (es gibt ja auch die Recovery Wörter Prüf-App für die Ledger NoNos). All das kontrolliert die Firmware des Secure Chips und des Microcontrollers im Ledger NoNo. Blöd ist nur, daß Ledger seine Firmware eher Closed-Source hält und man eben nicht nachvollziehen kann, was die NoNos intern treiben. Die Ledger-Käufer akzeptieren das so. Die BitBox02 ist komplett Open-Source und hat reproduzierbare Firmware und im Gegensatz zu Trezor auch einen Secure Chip, der alle wichtigen Geheimnisse schützt. Bei der BitBox02 kannst du also nachsehen und nachvollziehen, wie die Firmware programmiert ist und was diese treibt. Reproduzierbare Firmware gibt dir die Gewissheit, daß im Github das steht, was in der Firmware drin ist und ausgeführt wird. Trezor hat einen eigenen Secure Chip entwickelt und wird diesen in zukünftigen Produkten sicherlich einbauen. Sie wollen diesen Secure Chip auch anderen Firmen anbieten. Aber noch gibt es keine Trezor-Hardwarewallet mit dem Tropic Secure Chip. Bei Ledger NoNos kannst du das nicht. Bei der BitBox02 ist das anders, da es für diese reproduzierbare Firmware gibt. Es gab früher ja schon die App für die NoNos zum Installieren, mit der du die Recovery Wörter verifizieren konntest, da ein Ledger NoNo dir deine Recovery Wörter sonst nicht noch einmal anzeigen würde (dafür ist die Firmware nicht programmiert). Die Firmware und die NoNo-Apps kontrollieren, was ein Ledger machen kann. Leider veröffentlich Ledger nicht alle Teile davon und Ledger-Kunden akzeptieren das und kaufen den Schrott trotzdem. Und jetzt heulen alle Ledger-User rum... Exakt, du musst dem Ledger-Mantra vertrauen, weil Ledger borniert genug ist, seinen Kunden Closed-Source Firmware anzudrehen. Aber eigentlich ist es ja andersrum: Ledger-Kunden finden das gut und akzeptieren es und kaufen begeistert die Ledger NoNos, als ob es keine Alternativen gäbe. Trezor, BitBox02 und Foundation Passport sind Open-Source. Bei der Coldcard weiß ich das jetzt nicht mehr so genau, die haben zumindest ihr Lizenzmodell geändert, aber deren Firmware sollte eigentlich auch noch Open-Source sein, allerdings darf Niemand mehr ihre Firmware-Quellcodes forken. (Eine etwas seltsame Attitüde von Coinkite/Coldcard, da sie früher einen Großteil der Firmware von Trezor geforkt haben.) Zumindest bei BitBox02 weiß ich, daß die Firmware reproduzierbar ist. Das bedeutet, ich kann auf dem Github nachsehen, was exakt in der Firmware drinsteckt und ausgeführt wird, technisches Verständnis vorausgesetzt. Und nein, ich bin kein Ledger-Fanboy, eher das komplette Gegenteil, aus vielerlei Gründen...
  22. Sowas habe ich auch als Fallback-Lösung, denn schließlich kann ein Smartphone kaputt gehen, verloren oder gestohlen werden. Ein wenig Redundanz hat noch nie geschadet! Aber langsam driften wir ins Offtopic... 😉
  23. Ich habe diesen Post von pointbiz auf bitcointalk.org zu etwaigen Anschuldigungen gefunden, daß bitaddress.org mal kompromittiert worden sein soll. Ich habe immer noch starke Zweifel, daß bitaddress.org je unsauber war. Wahrscheinlicher sind viele andere Fehlerquellen von "betroffenen" Usern, ohne Anspruch auf Vollständigkeit: falsche Links / Bookmarks Typosquatting maligne Browser-Extensions maligne "Crypto-Browser" mit subtiler Malware infizierte Rechner Ahnungslosigkeit und/oder Dummheit von Usern unsichere digitale Speicherung von Backups der Private Keys oder Paperwallets (z.B. digitale Fotos gemacht) ...
  24. Einverstanden, sowas mache ich auch oder nutze einen TAILS-Stick im Offline-Modus. Davon hat aber @Peer_Gynt nicht gesprochen. Daher wollte ich darauf hinweisen, daß man ein potentiell nicht sicheres System nur durch Offline-Nehmen nicht zu einer sicheren Basis für sensitive Tätigkeiten machen kann, wenn dasselbe System später wieder online geht und man kaum Kontrolle darüber hat, welche Datenspuren auf dem System verblieben oder gar exfiltriert worden sind, falls das System schon mit stiller Malware kompromittiert war oder später wird. Your keys, your opsec!
  25. Wie kommst du auf den Vergleich mit Bankdaten im Zusammenhang von Recovery Wörtern? Mein Login-Passwort für's Online-Banking ist nicht digital gespeichert, weil das nicht nötig ist (eine analoge Sicherung ist aber auch hier vorhanden). Ein Angreifer kann auch nur wenige Versuche machen, bevor das Konto für Logins gesperrt wird. Jede geldbewegende Transaktion von meinem Bankkonto benötigt eine 2FA-Bestätigung, ebenso wie alle 90 Tage der Login selbst.
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.